Falha no Trampos.co expõe CEO 1x5h3x

O desenvolvedor Rafael Fidelis encontrou uma falha no sistemas de pagamento do site de trabalho para freelancers Trampos.co que permitiu realizar um pagamento não autorizado no site usando o cartão de crédito do CEO da companhia, Tiago Yonamine.

A história é contada com detalhes técnicos e uma dose de picardia no blog de Fidelis e começa com o profissional fazendo uma de um plano do portal no seu cartão de crédito.

Ao ser encaminhado para o formulário de pagamento, Fidelis notou que os ids da página eram sequenciais e começou a "brincar" no browser e acabou descobrindo que os pagamentos dos demais usuários não estavam protegidos.

De acordo com o relato de Fidelis, a falha permitiria que ele efetuasse as compras novamente, gerando pedidos não autorizados pelos donos dos cartões.

"Como eu sou um desenvolvedor bacana, logo pensei: “Puta merda, o cu de alguém tá em risco por essa falha, vou ligar lá e avisar os caras”, apontou Fidelis, que pode ser um pouco brusco no linguajar dos seus posts, mas provou ter um bom coração.

Após conversar com um desenvolvedor da Trampos, Fidelis relata que o problema foi rapidamente solucionado. 

"Os desenvolvedores subiram um fix ~rapido~, daqueles pra apagar incêndio, saca? (eu sei que você sabe, ein!  hauhauhhua)", resumiu o professional, relatando uma situação totalmente desconhecida para os leitores do Baguete, que não fazem essas coisas.

(Fidelis tem um senso de humor peculiar, que o levou a criar a página Pague Meu Freela, através da qual 34 mil pessoas mandaram emails para uma agência digital pedindo que, bem, ela pagasse um freela atrasado do profissional. Funcionou).

O espírito inquisitivo do desenvolvedor, no entanto, ainda não estava saciado, e ele decidiu seguir investigando o sistema de pagamentos do portal. 

Fidelis então se deu conta que os pagamentos do Trampos eram feitos pelo serviço Pagar.me, que salva as referências dos cartões do usuários para compras futuras com um só click. Esse cartão, no entanto, era salvo e redirecionava novamente para a página do pedido.

O desenvolvedor seguiu analisando o sistema, fazendo uma compra com um cartão inválido. O Pagar.me não aceitou o pagamento, mas a página da Trampos.co salvou o cartão inválido para compras futura, usando novamente ids sequenciais.

Fidelis alterou o Id para 1. Por acaso, as informações que apareceram foram as de Tiago Yonamine, CEO da Trampos.co. O desenvolvedor acabou fazendo uma compra com esses dados.

A Trampos.co comentou o post de Fidelis, destacando que a decisão de usar um gateway foca na segurança dos usuários e que não armazena nenhuma informação de cartões de crédito que possa ser usada fora do trampos.

"Muitas pessoas nos ajudaram e ajudam em todo tipo de decisão, com sugestões, críticas e conhecimento. Esse senso de comunidade é que permite o crescimento e melhoramento da plataforma. Acreditamos que é a co-participação que nos faz progredir", disse a página, agradecendo as informações.

Fidelis respondeu o da Trampos.co: “Eu acho o trampos.co uma puta plataforma maneira, continuem o trabalho e lembrem-se de criar uma politica de report de falhas de segurança, pois essa pode não ser a única...”.